Уразливість в Mango

20:04 30.04.2010

13.02.2010

У липні, 05.07.2009, я знайшов Cross-Site Scripting уразливість в системі Mango (це блог движок на ColdFusion). Уразливість виявив на сайті http://cfug.org.ua, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

30.04.2010

XSS:

http://site/archives.cfm/search/?term=%3Cbody%20onload=alert(document.cookie)%3E

Уразливі Mango 1.4.1 та попередні версії.

В Mango 1.4.2 дана уразливість була виправлена. Причому розробники її виправили ще до того, як я їм повідомив про уразливість - коли 13.02.2010 я дійшов до того, щоб оприлюднити дану разливість, я виявив, що вона вже виправлена в останній версії Mango, яка вийшла 02.02.2010.


Leave a Reply

You must be logged in to post a comment.